<div dir="ltr"><div style="color:rgb(0,0,0);font-size:12.8px">hi All,</div><div style="color:rgb(0,0,0);font-size:12.8px"><br></div><div style="color:rgb(0,0,0);font-size:12.8px">based on</div><span class="im" style="font-size:12.8px"><div><span style="color:rgb(0,0,0);font-size:12.8px"><br></span></div><div><span style="color:rgb(0,0,0);font-size:12.8px">* pluto: Add keyword  </span><span style="color:rgb(0,0,0);font-size:12.8px">replay</span><span style="color:rgb(0,0,0);font-size:12.8px">-</span><span style="color:rgb(0,0,0);font-size:12.8px">window</span><span style="color:rgb(0,0,0);font-size:12.8px">= (default 32, 0 means disable) [Paul]</span><br></div><div><span style="color:rgb(0,0,0);font-size:12.8px"><br></span></div></span><span style="color:rgb(0,0,0);font-size:12.8px">Is 3.16 already support setting the ipsec </span><span style="color:rgb(0,0,0);font-size:12.8px">replay</span><span style="color:rgb(0,0,0);font-size:12.8px">-</span><span style="color:rgb(0,0,0);font-size:12.8px">window configuration?</span><div><font color="#000000"><span style="font-size:12.8px"><br></span></font></div><div><font color="#000000"><span style="font-size:12.8px">Or is it only in 3.17?</span></font></div><div><font color="#000000"><span style="font-size:12.8px"> </span></font></div><div><font color="#000000"><span style="font-size:12.8px">Kind Regards</span></font></div><div><font color="#000000"><span style="font-size:12.8px"><br></span></font></div><div><font color="#000000"><span style="font-size:12.8px">Amir</span></font></div><div><font color="#000000"><span style="font-size:12.8px"><br clear="all"></span></font><div><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div style="color:rgb(0,0,0)"><div style="color:rgb(136,136,136);font-size:12.8px"><b><font color="#000000"><span>Amir</span> Naftali</font></b> | <b><font face="arial, helvetica, sans-serif"><font color="#0000ff">CTO and Co-Founder</font> | </font>+972 54 497 2622</b></div><div style="color:rgb(136,136,136);font-size:12.8px"><br></div><div style="color:rgb(136,136,136);font-size:12.8px"><a href="http://www.fortycloud.com/?utm_campaign=amir_email&utm_medium=email&utm_source=signature&utm_content=link&utm_term=amir_sig" style="color:rgb(0,0,255);font-family:'Courier New';font-size:14px;line-height:21px" target="_blank"><img align="none" height="37" src="https://gallery.mailchimp.com/805c65e3dbe647f677fe8ee38/images/bde29e88-9385-4f4b-ae97-60c704de1547.png" width="200" alt="" style="width: 200px; min-height: 37px; margin: 0px;"></a><br></div></div></div></div></div></div></div>
<br><div class="gmail_quote">---------- Forwarded message ----------<br>From: <b class="gmail_sendername">The Libreswan Project</b> <span dir="ltr"><<a href="mailto:team@libreswan.org">team@libreswan.org</a>></span><br>Date: Fri, Dec 18, 2015 at 10:28 PM<br>Subject: [Swan-dev] [Swan-announce] libreswan 3.16 released - maintanance release with experimental Opportunistic Encryption support<br>To: <a href="mailto:swan-announce@lists.libreswan.org">swan-announce@lists.libreswan.org</a><br><br><br><br>
-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA512<br>
<br>
<br>
The Libreswan Project has released libreswan-3.16<br>
<br>
This is a maintanance release that also includes experimental support<br>
for Opportunistic Encryption using AUTH-NULL<br>
<br>
A bug was fixed that caused keyingtries=0 to be misinterpreted, which<br>
could cause failing tunnels to not be retried indefinately. Some IKEv1<br>
PAM modules for pluto would always return a failure. Stricter checks on<br>
IKE padding in 3.14 were relaxed a little to ensure interop with broken<br>
racoon implementations. An XAUTH based connection that was brought up,<br>
down and up quickly could cause a crash.<br>
<br>
A new experimental initial release of Opportunistic IPsec has been<br>
included. For more information about Opportunistic IPsec see:<br>
<a href="https://libreswan.org/wiki/edit/HOWTO:_Opportunistic_IPsec" rel="noreferrer" target="_blank">https://libreswan.org/wiki/edit/HOWTO:_Opportunistic_IPsec</a><br>
<br>
You can download libreswan via https at:<br>
<br>
<a href="https://download.libreswan.org/libreswan-3.16.tar.gz" rel="noreferrer" target="_blank">https://download.libreswan.org/libreswan-3.16.tar.gz</a><br>
<a href="https://download.libreswan.org/libreswan-3.16.tar.gz.asc" rel="noreferrer" target="_blank">https://download.libreswan.org/libreswan-3.16.tar.gz.asc</a><br>
<br>
The full changelog is available at: <a href="https://download.libreswan.org/CHANGES" rel="noreferrer" target="_blank">https://download.libreswan.org/CHANGES</a><br>
<br>
Please report bugs either via one of the mailinglists or at our bug tracker:<br>
<br>
<a href="https://lists.libreswan.org/" rel="noreferrer" target="_blank">https://lists.libreswan.org/</a><br>
<a href="https://bugs.libreswan.org/" rel="noreferrer" target="_blank">https://bugs.libreswan.org/</a><br>
<br>
Binary packages for RHEL/EPEL and Debian/Ubuntu can be found at<br>
<a href="https://download.libreswan.org/binaries/" rel="noreferrer" target="_blank">https://download.libreswan.org/binaries/</a><br>
<br>
Binary packages for Fedora can be found in the respective fedora<br>
repositories.<br>
<br>
See also <a href="https://libreswan.org/" rel="noreferrer" target="_blank">https://libreswan.org/</a><br>
<br>
v3.16 (December 18, 2015)<br>
* auto: add new option --start which is like auto=start [Tuomo]<br>
* libipsecconf: allow time with no unit suffix (openswan compat) [Hugh]<br>
* libipsecconf: cleanup parser.y to work on old/new GCC and 32/64bit [Hugh]<br>
* libipsecconf: re-introduce strictcrlpolicy= as alias for crl-strict= [Paul]<br>
* libipsecconf: Allow time specification for dpdtimeout= / dpddelay= [Paul]<br>
* libipsecconf: aliases curl_timeout / curl_iface for openswan migration [Paul]<br>
* libswan: Fix memory leak in match_rdn() [Valeriu Goldberger]<br>
* PAM: Fix some IKEv1 XAUTH methods always returning "denied" [Antony]<br>
* PAM: stacked pam modules (eg pam_ssss) need CAP_DAC_READ_SEARCH [Matt]<br>
* newhostkey: fix seedev device [Paul]<br>
* pluto: terminate_connection() when we become unoriented (rhbz#609343) [Paul]<br>
* pluto: find_client_connection() must ignore unoriented c (rhbz#1166146) [Paul]<br>
* pluto: Fix trafficstatus byte counter output [Antony]<br>
* pluto: accept racoon's over-sized padding (got rejected in 3.14) [Andrew]<br>
* pluto: obsolete plutofork= and ignore the keyword on startup [Paul]<br>
* pluto: send_crl_to_import: use waitpid(2) to wait for correct child [Hugh]<br>
* pluto: cleanup struct spd_route and related tidying [Hugh]<br>
* pluto: fix eclipsed to iterate over connection's spd_routes [Hugh]<br>
* pluto: accept delete payload with wrong side's SPI (CISCO bug) [Paul+Hugh]<br>
* pluto: initialise phase2 our_lastused/peer_lastused on creation [Paul+Hugh]<br>
* pluto: pluto: OE: add shunts.total count to ipsec whack --globalstatus [Paul]<br>
* pluto: Add keyword  replay-window= (default 32, 0 means disable) [Paul]<br>
* pluto: Add fake-strongswan=yes|no (default no) to send strongswan VID [Paul]<br>
* pluto: Add support for XFRM marking cia mark=val/mask [Amir Naftali]<br>
* pluto: Use selinux dynamic class/perm discovery, not old API [Lubomir Rintel]<br>
* pluto: Fix for uniqueids killing second tunnel between hosts [Tuomo]<br>
* pluto: Don't refuse to load passthrough conn with ike= / esp= settings [Paul]<br>
* pluto: Free the event struct initialzed in main loop and tidy [Antony]<br>
* pluto: Add event for child handling of addconn [Wolfgang/Antony]<br>
* pluto: release_fragments() cannot try both IKEv1 and IKEv2 fragments [Paul]<br>
* X509: load_end_nss_certificate() cleanup [Matt]<br>
* X509: Add on-demand loading of NSS certificate private keys [Matt]<br>
* X509: Fix possible NSS cert leaks in trusted_ca_nss() [Matt]<br>
* IKEv2: delete_state() should only handle shunt of real parent SA [Paul]<br>
* IKEv2: retransmit_v2_msg() should delete parent and child SA on failure [Paul]<br>
* IKEv2: mixup in parent/child SA caused keyingtries to be lost [Paul]<br>
* IKEv2: Remove two bogus state machine entries for INFORMATIONAL [Paul]<br>
* IKEv2: Remove duplicate SEND_V2_NOTIFICATION() [Paul]<br>
* IKEv2: Only let passthrough conn win if it has longer prefix [Paul]<br>
* OE: Deleting opportunistic Parent with no Child SA [Paul]<br>
* OE: Send authentication failed for OE child fail [Paul]<br>
* OE: Don't reject IPv6 family for OE foodgroups [Antony]<br>
* OE: Move orphan_holdpass() call into delete_state() [Paul]<br>
* OE: Call orphan_holdpass() for opportunistic conns for EVENT_SA_EXPIRE [Paul]<br>
* OE: Do not answer IKE request if we matched authby=never conn [Paul]<br>
* OE: Fix memory leaks in nullgw and bs->why [Antony]<br>
* OE: At IKE rekey time, delete the IKE/IPsec SA when idle [Antony]<br>
* FIPS: fips.h should only require compiled libexec/ components [Paul]<br>
* XAUTH: Fix for connection going up->down->up causing passert [Hugh]<br>
* XAUTH: Do not interpret padding as incomplete attribute [Lubomir Rintel]<br>
* XAUTH: Improve failure logging [Paul]<br>
* XFRM: Workaround bug in Linux kernel NLMSG_OK's definition [Hugh]<br>
* KLIPS: kernels 4.1.x+ always use the same interface to uids [Roel van Meer]<br>
* KLIPS: Various changes to support 4.1.x kernels [Wolfgang]<br>
* ipsec: custom directory not recognized, github issue #44 [Tuomo]<br>
* updown.*: Fix NetworkManager callback [Lubomir Rintel]<br>
* addconn: tidy [Hugh]<br>
* building: obsolete USE_ADNS and disable building adns helpers [Paul]<br>
* building: Do not link all binaries with nss,nspr and gmp [Paul]<br>
* building install "ipsec_initnss.8" and "ipsec_import.8" man pages [Andrew]<br>
* packaging: debian/ directory update [Paul/Daniel]<br>
* testing: Various testing updates and improvements [Antony/Paul/Andrew]<br>
* documentation: added CODE_OF_CONDUCT.d [Paul]<br>
* Bugtracker bugs fixed:<br>
   #216 No longer require :RSA entries for X.509 certs in ipsec.secrets [Matt]<br>
   #233 pluto sends delete SAs in wrong order and reconnection issues [Wolfgang]<br>
   #247 KLIPS: fix pluto can't add ipv6 addresses to ipsec devices [Wolfgang]<br>
   #248 keyingtries=%forever doesn't work anymore [Wolfgang]<br>
-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v1<br>
<br>
iQIcBAEBCgAGBQJWdGwaAAoJEIX/S0OzD8b566EP/iAHIJIGx/lrZexlVQpTTs0Q<br>
M+lmDsiUzhvq97LoKFOzzKuNjLMGHcNhU2tEYRJIPOfTJqDhsB37IN6exiN319Lx<br>
2AphkFP1Aqd42iUIhZD75cfcIk7u2+qOB89hRI2JugefHfLK5RpfsShQsa/k5REz<br>
/SLtggafYFNjA1J/0Picw3czwdbH6DyMCdsSWEc46X9aXNnYlB7GNctb9KemC91N<br>
mj2AJxAdVdaxUSZO7u0fuxSMLH7xtZv90mw69OFvmpwGwchuYT/lGBXhnytc7LK7<br>
ykftIzu0842ThUJOosrTLefDP7wzen5iUGda7PlUB1Gw6Ib8KIq9AIMmazFxDO2q<br>
LRmqapJwGY3Z45SLhvumM2tGXiy02jjtb+gtNuFsAbONxngmiZm/RBUKonTikK4A<br>
FuSD+jCWOq0qj9KS1ZwWP5tUHEw8p5ExV8ARy0fd3hoz0U3EafU3/uTXSWM2VaAu<br>
8bfI6zqyuMhkg889zljY2uS84SiF835AoFGKdhHwDT7p3oIYSdtr2QAfRIcPE6sk<br>
sNOCMojqigfylOJYlOaMSK2VjKxchVlwbXhdLZuVxQ6rzYw0itHBVzsTGGKe6yot<br>
O46m4taMhUTLlcpYdXl7y7GkYHe3BzBnVngnn+LLHF2v/NaoeDGI1yShijBuMeb2<br>
W78ZHlfQ1P0Xd/qneufa<br>
=dJvs<br>
-----END PGP SIGNATURE-----<br>
_______________________________________________<br>
Swan-announce mailing list<br>
<a href="mailto:Swan-announce@lists.libreswan.org" target="_blank">Swan-announce@lists.libreswan.org</a><br>
<a href="https://lists.libreswan.org/mailman/listinfo/swan-announce" rel="noreferrer" target="_blank">https://lists.libreswan.org/mailman/listinfo/swan-announce</a><br>
_______________________________________________<br>
Swan-dev mailing list<br>
<a href="mailto:Swan-dev@lists.libreswan.org" target="_blank">Swan-dev@lists.libreswan.org</a><br>
<a href="https://lists.libreswan.org/mailman/listinfo/swan-dev" rel="noreferrer" target="_blank">https://lists.libreswan.org/mailman/listinfo/swan-dev</a><br>
</div><br></div></div>